「新京报经济新闻」App用户数据泄露背后：250元可查到户口，70亿条数据叫价2万( 二 )

有安全人士称，此次微博数据泄露事件与用户通讯录权限的关系不大，用户手机号与用户真实身份的联系并非从微博泄露，而是来源于已有的“社工库” ，真正需要微博负责的可能就是其对接口的安全保护策略。
在被工信部约谈后，微博表示，公司高度重视数据安全和个人信息保护，针对此次事件已采取了升级接口安全策略等措施，后续将按照工信部要求，落实企业数据安全主体责任，切实做好用户个人信息保护工作。
贝松涛表示，账号和手机号的对应关系，可以由任何一次信息泄露事件引发，例如过去发生过的华住泄露事件。而一个人通常都是用同样的账号和手机号来注册多个信息系统。
源头“社工库”？
100元买4G邮箱数据， 70亿条数据叫价2万
那么，包括微博在内的各个平台，其泄露的数据是如何与用户真实身份联系起来的呢？
3月20日至3月27日， ***采访人员在多个黑灰产平台调查发现，提供姓名查询身份证，或提供App账号查询对应手机号码的业务已经形成了产业链，而根据平台、卖家的不同，这类“人肉搜索”的价格也不尽相同。
如有黑灰产卖家提供“全自动”的人肉搜索服务，买家只要支付320元成为VIP就可以享受该人肉搜索服务，服务内容包括查询微博、QQ、贴吧、LOL游戏账号的对应手机号等信息。
3月20日， ***采访人员为调查向黑产人士购买了价值约12元人民币的积分，获得了201条微博用户信息，其中不少信息包括用户身份证号、手机号、密码、生日等私密信息。对于其提供的微博定向查询手机号服务，采访人员测试查询了3个已绑定手机的微博账号，结果有2个微博账号显示为正确的关联手机号码，其中1个还给出了微博绑定的QQ等更详细的信息，另一个微博账号的查询结果显示“无信息” 。
李环告诉采访人员，能够查询到的信息均来自于该群组的“社工库” ，而无法查询到的信息即该“社工库”尚未收集到的信息。令人惊讶的是，该社工库数据量极其庞大，采访人员随机查询了10条身份信息，均指向了正确的结果。
“黑灰产人士在这方面‘深耕’越久，数据量就越大，若有足够耐心的黑灰产人士将历史上各个时期泄露的数据都予以收集，其‘社工库’的数据量会达到惊人的地步。 ‘社工库’的拥有者往往是人肉搜索产业链的上游，不少数据掮客、私家侦探等查用户账号密码或查开房记录时，其实都是从这些‘社工库’中购买信息，再加价对客户进行‘二倒手’售卖。 ”李环表示。
3月25日， ***采访人员从多个网络平台上搜索到不少直接售卖社工库数据的黑灰产项目，价格从50元到2万元不等。其中，一个售价100元的“老密邮箱数据库”信息，足足有4个G ，里面全部都是曾经泄露过的用户邮箱地址及密码。对于这些数据的来源，卖家表示是“网上收集”的。
采访人员浏览到的数据量最大的是一个号称包括70亿有效数据的“已知全部泄露数据库” 。卖家声称该数据库内含28.93亿条邮箱信息， 4.26亿条身份证信息， 8.27亿条手机信息，售价2万元人民币。

本文插图
号称有70亿条数据的社工库售价2万元。
贝松涛表示，社工库是长期存在于黑市里的数据，来源很广泛，有各种信息泄露事件中积累的个人信息，也有从爬虫网络上找得到的一些其他信息。 “这些库很多都是历史信息，已经流转多次，很难追寻源头并封堵。 ”
在“社工库”下游的，就是依托社工库查询各类私人信息的人肉搜索黑产。
在各类黑灰产平台中，采访人员发现由于直接购买社工库的海量数据价格昂贵，最为活跃的交易是人肉搜索。
如在某黑产相关的QQ群中，有人咨询已知身份证号查询开房记录，有卖家报价2000元，而同等的“业务”在某平台上一般报价700至1000元。对已知姓名查询户口簿页面的“查全户”业务，网上报价则在250元至400元不等。面对不同的买家，同一个卖家也经常抬价。